1 Agencia Española de Protección de Datos

Análisis y gestión del riesgo en el tratamiento de datos:

Las Guías para una Evaluación de Impacto en la

Protección de Datos Personales

3er. Congreso Internacional de Protección de Datos

Medellín, 28 y 29 de mayo de 2015

JOSE LUIS RODRIGUEZ ALVAREZ

DIRECTOR

AGENCIA ESPAÑOLA DE PROTECCIÓN DE DATOS

2 Agencia Española de Protección de Datos

Entorno de riesgo creciente

• Sociedades altamente tecnologizadas y globalizadas

• Cada día nuevos productos y servicios que usan intensivamente

datos personales

• Crecimiento exponencial volumen de información

• Se multiplican las capacidades de uso de la información con

fines diversos

• Aumento de posibilidades explotación comercial y el valor

económico de los datos

• Incremento de los riesgos para la privacidad

• Pérdida de capacidad de autodeterminación de los individuos:

más posibilidades de pérdida de control sobre información

personal.

3 Agencia Española de Protección de Datos

Nuevas necesidades

Reforzar los derechos de los ciudadanos, actualizar

legislaciones

Complementar planteamientos tradicionales.

Nuevos enfoques preventivos

Fortalecer la “accountability”

Implantar “Privacy by Design”

Evaluaciones de Impacto en la Protección de Datos

(Privacy Impact Assessment)

4 Agencia Española de Protección de Datos

Evaluciones de Impacto

Desarrollado países anglosajones. En algunos casos es

obligatorio

Mayoría países europeos no existe obligación legal

Nuevo Reglamento General de Protección de Datos:

“riesgos específicos para los derechos y libertades

de los ciudadanos”

Lista de tratamientos, ampliable por las

Autoridades

EIPD (PIAs): son un análisis de riesgos y un plan de gestión

5 Agencia Española de Protección de Datos

Evaluciones de Impacto

Metodología madura, incorporable aunque no exista obligación

Claros beneficios:

Ahorro costes económicos, reputacionales derivados de

riesgos previsibles

Mejora políticas y prácticas protección datos de las

organizaciones

Mejor protección más confianza clientes y usuarios

AEPD Promover la realización de EIPD

Elaborar Guía para facilitar realización

6 Agencia Española de Protección de Datos

La Guía EIPD

www.agpd.es

7 Agencia Española de Protección de Datos

La Guía EIPD

Elaboración participativa: consulta pública

Marco flexible

Modelo estructurado

Adaptable a características organizaciones

Posibilidad de guías sectoriales

8 Agencia Española de Protección de Datos

Aspectos generales

Proceso sistemático de evaluación para identificar y

eliminar riesgos

Más allá de evaluación cumplimento normativo

Substancial y no sólo formal

Reglado y estructurado

Reproducible y verificable

Inicio en fase temprana

Publicidad (parcial) conclusiones

9 Agencia Española de Protección de Datos

Fases

Análisis de Necesidad

Identificación de Riesgos

Gestión de Riesgos

10 Agencia Española de Protección de Datos

Análisis de necesidad

Análisis de Necesidad

Identificación de Riesgos

Gestión de Riesgos

11 Agencia Española de Protección de Datos

Identificación de riesgos

Análisis de Necesidad

Identificación de Riesgos

Gestión de Riesgos

12 Agencia Española de Protección de Datos

Gestión de riesgos

Análisis de Necesidad

Identificación de Riesgos

Gestión de Riesgos

13 Agencia Española de Protección de Datos

Ciclo de Deming

14 Agencia Española de Protección de Datos

Muchas gracias

director@agpd.es